Guia de Boas Prá cas para Gestão de Tecnologia da...

1Guia de Boas Prá� cas para Gestão de Tecnologia da Informação

Guia de Boas Prá� cas para Gestão de Tecnologia da Informação

2 Guia de Boas Prá� cas para Gestão de Tecnologia da Informação

Créditos

Guia de Boas Práticas para Gestão de Tecnologia da Informação

REALIZAÇÃO: SESVESP - Sindicato das Empresas de Segurança Privada, Segurança Eletrônica e Cursos de Formação do Estado de São Paulo

PROJETO/COORDENAÇÃO: Rodrigo Matos, Gestor/Coordenador de TI do SESVESP.

Contribuições:Alexandre Corrêa, Gestor de TI da Protege S/A Proteção e Transporte de Valores.Anderson Luis Araújo, Gestor de TI do Grupo GP, Guarda Patrimonial de São Paulo Ltda.André Hideo, Gestor de TI da Evik Segurança e Vigilância Ltda.Celso Sávio, Gestor de TI da Power Segurança e Vigilância Ltda.Francisco Ventura, Gestor de TI da empresa Iron (Valinhos) Segurança Especializada Ltda.Jeff erson J. H. de Oliveira, Gestor de TI do Grupo Mave Segurança e Serviços.Ricardo Augusto Neves, Gestor de TI da Empresa Nacional de Segurança Ltda.

Abril / 2011


SESVESPSindicato das Empresas de Segurança Privada, Segurança Eletrônica, Serviços de

Escolta e Cursos de Formação do Estado de São Paulo.

Guia de Boas Prá� cas para Gestão de Tecnologia da Informação

APRESENTAÇÃOO SESVESP, no percebido de disseminar as melhores prá� cas empresariais, apresenta este guia que visa nortear as empresas

do segmento de como organizar a TI (tecnologia da informação) e garan� r que ela (TI) seja entendida, protegida, jus� fi cável e alinhada ao negócio.

O SESVESP de maneira empírica entende que é dever da alta direção das empresas desmis� fi car a TI e entender a TI como um conjunto de recursos tecnológicos e computacionais para geração e o uso da informação que hoje é aplicada na obtenção de vantagem compe� � va no mercado, cada vez mais caracterizado por grande concorrência obrigando as empresas a se adaptarem rapidamente as novas demandas.

Desta forma é imprescindível que as empresas saibam como direcionar a� vos e recursos de TI, preservar os recursos e in-ves� mentos efetuados, sejam eles so� wares, computadores e principalmente informação, destacando que o seu uso deve ser sistema� zado, regulamentado e monitorado.

A TI, alem de suportar o negócio, deve também estar inteiramente incluída nos obje� vos estratégicos das empresas, pois os processos de negócios estão cada vez mais dependentes da TI, fazendo com que a preocupação com a responsabilização pelo uso dos recursos de TI seja cada vez mais efi cazes e confi áveis, cabendo, então, ás empresas mapear a TI e saber em qual estado ela se encontra, amadurecendo-a e aperfeiçoando-a de maneira con� nua.

Os gestores de TI devem estar prontos para responder aos principais desafi os da tecnologia a informação, matendo-a funcio-nando, gerando valor, reduzindo custos, gerenciando complexidades, alinando-a com os negócios, cumprindo as normas e os regulamentos, garan� ndo a segurança das operações. Sobretudo, os gestores devem exercer a função de CIO (Chief Informa� on Offi cer) como menbro do grupo de execu� vos das empreasas abrindo a caixa preta da TI e ao mesmo tempo mostrando uma vi-são abrangente de TI sobre o negócio, e não estando somente preocupados com os recursos de tecnologia, ou seja, entendendo e garan� ndo os processos crí� cos do negócio para que ele entregue o “valor” esperado.

A visão de TI deve ser de como os recursos tecnológicos envolvidos podem impactar no negócio, o funcionamento dos recur-sos de TI hardware, so� ware e pessoas envolvidas devem garan� r prioritariamente os processos de negócio da empresa os quais eles suportam.

Este guia visa uma introdução sobre prá� cas e metodologias para organização da TI, focando na apresentação de prá� cas e normas votadas à governança de TI, a gestão de serviços de TI e a segurança da informação, com o intuído de fazer com que a tecnologia possa atender as demandas do negócio.

Rodrigo MatosGestor/Coordenador de TI do SESVESP.


P�� G��:

P��/C��:

Rodrigo Matos, Gestor/Coordenador de TI do SESVESP.Bacharel em Sistemas de Informação e pós-graduando em Governança Corpora� va de TI.12 anos atuando na área de Tecnologia da Informação voltados a área de projetos de infraestrutura (Redes, Servido-

res), sendo nove anos no segmento de segurança privada: 2003 a 2005 - Grupo GP Guarda Patrimonial de São Paulo, e 2005 a 2011 - SESVESP.

Principais realizações: Implementação e gestão do processo de segurança da informação baseada na norma ISO 27002 na en� dade SESVESP, dimensionamento, implementação e operação de toda a infraestrutura tecnológica da en� dade SESVESP, Elaboração e Gerenciamento do projeto de reestruturação das redes de voz/dados da en� dade SES-VESP (cabeamento estruturado padrão CAT5E), Desenvolvimento e Gerenciamento do projeto do sistema de cer� dões on-line no web-site da en� dade SESVESP.

Cursos Complementares: Microso� Offi cial Curriculum Cer� fi ed (WinServer2003) , Microso� Cer� fi ed IT Professio-nal - Enterprise Administrator (WinServer2008), CA -Computer Associates Educa� on La� n America (BR 400 - BrightStor Arc Serve Backup for Windows: Implementa� on and Administra� on),Cobit Founda� on 4.1 Cer� fi ed, ITIL Founda� on V3

Professional, ISFS - Fundamentos de Sistemas de Segurança da Informação Baseados na ISO/IEC 27002, DSE - Programa Direção de Segurança em Empresas (Segurança da Informação, Segurança de Sistemas e TI) Universidade Pon� � cia Comillas Madrid Postgrado (29º e 30º Turmas América La� na 2008).

Alexandre Corrêa (Protege S/A Proteção e Transporte de Valores)Formado em Ciência da Computação pela FASP - Faculdades Associadas São Paulo e Pós-Graduado em MBA E-Management - Tec-

nologia da Informação Aplicada à Nova Economia, pela FGV - Fundação Getúlio Vargas. Mais de 18 anos atuando em Tecnologia da Informação voltada à área de serviços. Experiência em: planejamento, dimensionamento, montagem e operação de infra-estrutura tecnológica; gerenciamento de projetos e desenvolvimento de sistemas; projetos de padronização de ambientes, escalabilidade, me-lhoria de performance e redução de custos; pesquisas de novas tecnologias.

Anderson Luis Araújo (GP Guarda Patrimonial de São Paulo Ltda.) 16 anos na área de TI. Administrador de Redes na PwC, Líder de equipe de Helpdesk no SESI/SENAI e Gerente de Projetos e Ne-

gócios de TI no Grupo GP. Formado em Gestão de TI pela UNIP e Tecnologia de Processamento de Dados pelo UNIB. Suas principais realizações foram: estruturação da área de TI, Gestão de Projetos de Governança Coorpora� va, Implantação de sistema Comercial e Ponto Eletrônico.

André Hideo (Evik Segurança e Vigilância Ltda.)Profi ssional com mais de 10 anos de experiência em Tecnologia da Informação. Administrador de Redes Microso� e Linux, Admi-

nistrador de Sistemas de ERP e BSC. Bacharel em Ciência da Computação, pós-graduado em Redes de Computadores, em Segurança da Informação, e pós-graduando em Gerenciamento de Projetos. Atuou em diversos projetos de telecomunicação e segurança. Suas principais realizações foram: Implementação de Polí� cas de Segurança e projetos de T.I e Telecomunicação como Sistemas de Gestão Balance Score Card, Telefonia Voip entre outros.

Celso Sávio (Power Vigilância e Segurança Ltda.)Engenheiro da Computação, pela UNIP; e Pós Graduado pela Pon� � cia Universidade Católica - PUC São Paulo - SP em Master

Business Informa� on Systems – MBIS / MBA em Gestão Estratégica de TI. Larga experiência em elaboração dos procedimentos de atendimento do suporte; elaboração dos procedimentos de ro� nas da Infra-estrutura; budget (orçamento) anual do departamento de Infra-estrutura; informá� ca baseada nas diretrizes e planejamento estratégico da empresa; elaboração e acompanhamento de testes com os serviços ou recursos tecnológicos de con� ngência; gerenciamento de todos os a� vos relacionados a infra-estrutura de tecnologia do Grupo.

Francisco Ventura (Iron “Valinhos” Segurança Especializada Ltda.)Formado em Ciência da Computação (UNICAMP) e CursandoTécnico em Mecânica com ênfase em Automação (COTUCA-UNICAMP).

Suas principais realizações foram: desenvolvimento de um renomado so� ware de controle de acesso, além da gestão e segurança de TI da Iron Segurança sempre buscando soluções OpenSource para que o empreendimento não fi que refém de uma solução proprietária.Cursos complementares : Microso� Cer� fi ed Professional Developer - MCPD


Jeff erson J. H. de Oliveira (Grupo Mave Segurança e Serviços) Tecnólogo em Sistema de Informação pelo Centro Universitário Radial – UNIRADIAL e pós-graduando em Gestão de

Tecnologia da Informação, pela Faculdade Flamingo. Principais realizações: Implantação de sistemas de ERP SAR (HK) e K&S, redução de custos em manutenção de equipamentos e impressão, melhorias na estrutura interna de hardware e so� ware e padronização das ferramentas de trabalho.

Ricardo Augusto Neves (Empresa Nacional de Segurança Ltda.)Onze anos de atuação na área de TI. Experiência em projetos de desenvolvimento de sistemas, implantação de sis-

temas ERP´s . Infraestrutura de TI e Telecom. Liderança de equipes. Gestão de contratos e fornecedores. Graduado em Ciência da Computação – UNIFAI e pós-graduado em Gestão de Tecnologia da Informação – FIAP. Principais realizações: elaboração de Plano Diretor de TI e execução de projetos para resolução de demanda reprimida; diminuição dos ris-cos provenientes de TI para os negócios e planejamento da área para atender as estratégias da empresa. Implantação de polí� cas, normas e procedimentos da área, como; polí� cas de atendimento, u� lização de recursos, segurança da informação, aquisições, etc. Execução de ações para racionalização e redução de custos de TI, como: subs� tuição de fornecedores, renegociação de contratos, equiparação de valores de contratos de fornecedores diferentes para o mes-mo serviço, compar� lhamento de recursos de TI, centralização da equipe de T.I, etc. Projetos Realizados: Migração das plataformas de rede (de Linux para Windows), integração das unidades para aumentar a disponibilidade de sistemas, integração do AD (Ac� ve Directory) em domínio único, estruturação de cabeamento de um dos prédios do grupo, subs-� tuição das soluções de Firewall, implantação de help desk, construção de novo data center (interno), implantação de sistemas de gestão de pessoas e ERP. Readequação da equipe de TI. Com os projetos de integração dos prédios, migração das platafor-mas de rede e integração do AD, reduzimos o número de incidentes, o que nos permi� u suportar o crescimento da empresa, aumentar o número de serviços de TI oferecidos e até diminuir o quadro de pessoal.


SUMÁRIO:1 I��: G�� (E��).....................................................................7

2 M�� COBIT 2.1 P�� O��.................................................................................9 2.2 A�� I��...........................................................................10 2.3 E�� S��................................................................................10 2.4 M�� A��.................................................................................12 R�� ...............................12 C��, �� .............12

3 M�� ITIL 3.1 E�� S��...............................................................................13 3.2 P�� S��....................................................................................13 3.3 T�� S��................................................................................14 3.4 O�� S��.................................................................................14 3.5 M�� S��................................................................15 R�� ...............................16 C��, �� .............16

4 N�� S�� I��...........................................................................18

5 A �� ISO 27002 5.1 C�� I�� S�� I��.........................19 5.2 A��, V��, D�� G�� R��...........................20 5.3 A�� O��.......................................................................21 5.4 M�� S��..............................................................................22 5.5 L�� R��..................................................................24 R�� ...............................25 C��, �� .............26

B��........................................................................................................................27


1. I��: G�� (E��).

Este guia tem por obje� vo apresentar metodologias e melhores prá� cas para gestão de Tecnologia da Informação (TI) mais disseminadas no mercado atual, apresentando modelos que podem ajudar a aumentar a maturidade e o grau de controle dos obje� vos e dos processos corpora� vos relacionando o uso da TI aos níveis estratégico, tá� co e operacional de uma organização.

Entender o papel da TI em todos dos níveis de uma organização e dos diversos � pos de sistemas de informações existentes nas organizações de hoje é necessário para que a TI possa auxiliar na tomada de decisões e as a� vidades de trabalho existentes nos diversos níveis e funções organizacionais.

Exemplos de sistemas de informação aplicados nos níveis organização: ERP (Enterprise Resource Planning): sistema que integra todos os dados e processos de uma organização em único

sistema. CRM (Customer Rela� onship Management): gestão do relacionamento com os clientes das empresas.BI (Business Inteligente): processo de coleta, organização, análise, compar� lhamento e monitoramento de informa-

ções que oferecem suporte a gestão de negócios.SCM: Gestão da cadeia de suprimentos incorpora toda a logís� ca da gestão de materiais, compras, cotações, etc.Infra-estrutura: A infra-estrutura de TI corresponde às plataformas de hardware, de telecomunicações, das redes Lan e Wan, as

instalações � sicas e ao peopleware, as pessoas, necessários para exercerem os papéis e responsabilidades rela� vas a TI.

Contudo como metodologias e prá� cas disponíveis e aceitáveis largamente no mercado para efetuar a gestão de tecnologia da informação podemos citar:

O COBIT, um guia de boas prá� cas dirigido para a gestão de tecnologia de informação (TI), possui uma série de recursos que podem servir como um modelo de referência para gestão da TI, incluindo, controle de obje� vos, mapas de auditoria, ferramentas para a sua implementação e, principalmente, um guia com técnicas de gerenciamento.

O ITIL - Informa� on Technology Infrastructure Library consiste em um conjunto de livros com boas prá� cas a serem aplicadas na infraestrutura, operação e manutenção de serviços de TI;

A Norma NBR ISO/IEC 27002 é um código de prá� ca para a gestão de segurança da informação, que tem como obje� vo “estabele-cer diretrizes e princípios gerais para iniciar, programar, manter e melhorar a gestão de segurança da informação em uma organização”. Segurança da informação signifi ca proteger as informações consideradas importantes para a con� nuidade e manutenção dos obje� vos de negócio da organização.

Neste guia as metodologias e prá� cas são apresentadas de forma resumida e simplifi cada que podem ser entendidas pela área de TI e devem estar ao alcance de todos numa organização. Os aproveitamentos que forem alçados pelos elementos dispostos neste guia devem ser entendidos, replicados e, sobretudo, permi� rem evolução.

Este guia também proporciona a obtenção de uma visão plena e consolidada do ambiente atual de TI de uma organização, apontan-do cenários e necessidades que requerem o uso de tecnologia, aperfeiçoando o retorno dos inves� mentos já feitos e dos ainda a ser realizados e, ao mesmo tempo, garan� ndo a segurança das informações que são de uso vital para uma organização.


Podemos considerar que a correta aplicação de tais prá� cas e metodologias sugeridas neste guia podem levar à ex-celência na gestão de Tecnologia da Informação, porém deve-se analisar o ambiente antes de aplicar tais prá� cas, pois se deve aplicar o que agregar valor ao negócio.

Prá� cas que consistem um processo gerencial/operacional são compostas dos seguintes estágios:* Mapeamento das necessidades de tecnologia;* Priorização das necessidades de tecnologia;* Prospecção de tecnologias;* Analisar e validar tecnologias;* Difundir tecnologias;* Aproveitamento de tecnologias;* Monitoração de tecnologias;* Indicar desempenho de tecnologias.


2 O M�� COBIT.

O CobiT, acrônimo que signifi ca Control Obje� ves for Informa� on and Related Technology é um guia para a gestão de TI recomendado pela ISACA (Informa� on Systems Audit and Control Associa� on). A estrutura do Cobit foca em “o que é preciso ser feito” ao invés de “como fazer”.

O CobiT é um conjunto de diretrizes baseadas em auditoria para processos, prá� cas e controles de TI, voltado para redução de risco, que enfoca integridade, confi abilidade e segurança. Resumindo, o CobiT nada mais é do que um con-junto de ferramentas para a excelência em TI.

Missão do CobiT:Pesquisar, desenvolver, publicar e promover um modelo de controle para governança de TI atualizado e internacio-

nalmente reconhecido para ser adotado por organizações e u� lizado no dia-a-dia por gerentes de negócios, profi ssio-nais de TI e profi ssionais de avaliação.

A estrutura do CobiT é ramifi cada em 04 domínios e 34 processos:O CobiT é projetado para auxiliar três audiências dis� ntas:1) Gerentes que necessitam avaliar o risco e controlar os inves� mentos de TI em uma organização. 2) Usuários que precisam ter garan� as de que os serviços de TI que dependem os seus produtos e serviços para os

clientes internos e externos estão sendo bem gerenciados. 3) Auditores que podem se apoiar nas recomendações do CobiT para avaliar o nível da gestão de TI e aconselhar o controle interno

da organização.

O CobiT está dividido em quatro domínios:1) Planejar e organizar: O obje� vo deste domínio é iden� fi car modos nos quais a TI pode cooperar para que os obje� vos de negócio

da empresa sejam a� ngidos.2) Adquirir e implementar: Os a� vos de TI precisam ser iden� fi cados e desenvolvidos (aquisição e implementação) e principalmente

estarem integrados com os processos de negócio da empresa. Este domínio também abrange alterações nos recursos de para garan� r que eles operem sem interrupções.

3) Entregar e suportar: Obje� vo do domínio: entregar os serviços solicitados, desde operações diárias e ro� neiras, instruções e trei-namento até segurança e con� nuidade. É neste domínio que os processos de suporte e atendimento (service/desk) são desenhados.

4) Monitorar e avaliar: Obje� vo do domínio: avaliar de forma regular os processos de TI, principalmente quanto às questões de qualidade e cumprimento com requerimentos de controles internos estabelecidos na empresa.

Cada domínio cobre um conjunto de processos para garan� r a completa gestão de TI, somando 34 processos:

2.1 Planejar e Organizar:2.1.1 Plano Estratégico de TI: O planejamento estratégico de TI é necessário para alinhar os recursos de TI às prioridades de negócio

da empresa. O plano deve explanar quais são as partes interessadas do negócio, qual o estágio que a TI se encontra (performance, oportunidades e limitações) para a� ngir os anseios do negócio e projetar inves� mento necessário. Deve ser criado um por� ólio de serviços e nele devem estar descritos de forma sucinta as a� vidades e planos de TI apontando para os obje� vos estratégicos, e estes devem ser entendidos e aceitos pela TI e pelo negócio.

2.1.2 Arquitetura de Informação: Desenvolver e atualizar um dicionário de dados especifi cando a estrutura interna e o funciona-mento do uso da informação, classifi cação da informação, categorização de dados, níveis de segurança e racionalização de recursos de TI. Garan� r que as informações fornecidas e compar� lhadas sejam íntegras e confi áveis em tomadas de decisões da área de negócio.

Direcionamento Tecnológico: Direcionar os recursos tecnológicos para suportar o negócio. Eleger uma comissão de arquitetura para criar e atualizar um plano de infra-estrutura tecnológica para garan� r as reais expecta� vas sobre as tecnologias necessárias. Abordan-do planos de aquisições, padrões tecnológicos, mudanças, con� ngência, etc. O obje� vo é garan� r respostas rápidas a um ambiente com variações (mercado compe� � vo), economia com projetos e evitar interrupções dos sistemas e recursos de TI.

2.1.3 Organização e Relacionamentos de TI: Organização do pessoal envolvido, considerando competências, funções, responsabi-

lidades e autoridade a fi m de garan� r os processos com transparência e controle. Um gestor de TI com visão estratégica de TI deve estar envolvido nos processos de decisão, onde par� cipam outros gestores do negócio, para determinar prioridades dos recursos de TI, polí� cas e procedimentos que devem estar em vigência.

2.1.4 Gerenciar o Inves� mento em TI: Criar e manter uma estrutura para gerenciar os inves� mentos de TI (previsão orçamentária) abordando necessidades como: necessidades de ações corre� vas e outras que necessitem de recursos de projetos suportados por TI. Garan� r o alcance de metas,relação custo x benefi cio e retorno do inves� mento.

2.1.5 Comunicar as Diretrizes e Expecta� vas da Diretoria: Criar e manter um programa formal de comunicação para garan� r a


conscien� zação e entendimento sobre projetos, polí� cas, procedimentos e cumprimento de regras, regulamentações, instruções, diretrizes de TI. O programa deve ser aprovado e man� do (fi scalizado) pelo gestor de TI e pelos gestores da área de negócio (alta gestão).

2.1.6 Gerenciar os Recursos Humanos de TI: Estabelecer prá� cas e polí� cas para seleção, treinamento, desempenho, promoção e dispensa, a fi m de manter a equipe de TI mo� vada e competente.

Gerenciar a Qualidade: Implantar e desenvolver um SGQ (Sistema de Gestão da Qualidade) com processos e padrões comprovados. Efetuar um monitoramento constante do sistema, analisando e comunicando indicadores de desempenho, atuando sobre desvios e problemas e medindo os resultados a� ngidos, para garan� r a melhoria con� nua do sistema.

2.1.7 Avaliar e Gerenciar os Riscos de TI: Documentar níveis de riscos acordados, defi nir planos e estratégias para mi� gação (redução) de riscos a níveis aceitáveis, avaliar eventos que possam por em risco os obje� vos potenciais de negócio da empresa.

2.1.8 Gerenciar Projetos: Criar uma estrutura para efetuar a gestão sobre os projetos de TI. A estrutura deve incluir um plano mestre, recursos, defi nição dos objetos e metas, aprovação e envolvimento do operacional, fases da entrega, garan� a da qualidade, um plano de teste, revisão e manutenção. Esta abordagem reduz o custo com imprevistos e ga-

rante a qualidade e entrega do produto fi nal.

2.2 Adquirir e implementar.2.2.1 Iden� fi car Soluções Automa� zadas: Analisar os requisitos do negócio antes da aquisição e do desenvolvimento, considerar

premissas de funcionalidades estabelecidas (TI e negócios), alterna� vas de soluções, viabilidades técnicas e econômicas. Este processo garante que se minimize o custo com aquisição e permite que as soluções a� njam os obje� vos estabelecidos com efi ciência, efi cácia e sa� sfação dos envolvidos.

2.2.2 Adquirir e Manter So� ware Aplica� vo: As aplicações devem estar disponíveis em linha com as necessidades do negócio. Este processo garante o desenvolvimento de acordo com os padrões de confi guração e segurança, o que permite que a operação da em-presa esteja corretamente suportada com aplicações automa� zadas.

2.2.3 Adquirir e Manter Infra-estrutura de Tecnologia: Deve haver processos para aquisição, implementação e atualização da infra-estrutura tecnológica. Isso garante a disponibilização de plataformas adequadas (padronizadas) e alinhadas para sustentar as aplica-ções do negócio.

2.2.4 Habilitar Operação e Uso: Garan� r o uso correto da infra-estrutura e das aplicações através de conhecimento sobre o que está disponível, isso é alcançado através de treinamento e elaboração e disponibilização de manuais técnicos e operacionais.

2.2.5 Adquirir Recursos de TI: Este processo envolve todos os a� vos de TI, pessoas, so� ware,hardware, etc. Tudo deve ser contra-tado e\ou adquirido.

2.2.6 Gerenciar Mudanças: Controlar mudanças emergências (correções) e programadas (novas versões), mudanças devem ser comunicadas e autorizadas. Deve haver o estabelecimento de um plano de teste para posterior liberação para produção. Este proces-so assegura a mi� gação dos riscos que podem afetar o ambiente de produção com as necessidades de mudanças.

2.2.7 Instalar e Homologar Soluções e Mudanças: Novos sistemas devem entrar em produção quando es� verem prontos. Um am-biente de teste (homologação) dedicado com os requisitos principais de um ambiente de produção é o mais adequado, passando por um plano de liberação e migração também por avaliação e revisão após implementação. Esse processo garante que as expecta� vas acordadas sejam a� ngidas.

2.3 Entregar e suportar.2.3.1 Defi nir e Gerenciar Níveis de Serviço: Efe� var a comunicação entre TI e negócio, elaborar um acordo documentado sobre os

serviços e níveis de serviços de TI que serão fornecidos. Este processo também abrange o monitoramento do serviço e um freqüente reporte às partes envolvidas.

2.3.2 Gerenciar Serviços de Terceiros: Gerenciar os serviços de apoio fornecidos por terceiros, garan� r a sa� sfação do negócio com

os serviços fornecidos, garan� r sa� sfação com bene� cios, custos e riscos. Estabelecer papéis claros de responsabilidades, gerenciar e monitorar o desempenho do serviço prestado e cumprimento dos acordos e contratos.

2.3.3 Gerenciar Capacidade e Desempenho: Avaliar e o� mizar periodicamente o desempenho dos a� vos de TI, infra-estrutura, re-


cursos e capacidade. Este processo inclui a previsão de necessidades futuras, de melhoria con� nua e de con� ngência.

2.3.4 Assegurar a Con� nuidade de Serviços: O provimento con� nuo de serviços de TI depende do desenvolvimento de planos de con� nuidade, planos que asseguram um impacto mínimo nos negócios, caso haja uma interrupção nos serviços de TI.

2.3.5 Assegurar a Segurança dos Serviços: Elaborar planos de gestão de segurança para garan� r a integridade das in-formações e proteção dos a� vos de TI. Os procedimentos de segurança incluem a defi nição de responsabilidades, testes periódicos de segurança para iden� fi car vulnerabilidades e ações corre� vas a incidentes de segurança.

2.3.6 Iden� fi car e Alocar Custos: Arquitetar e operar um sistema imparcial para captação, alocação e reporte dos

custos de TI, para haver o entendimento dos custos de TI e melhoria da relação custo x bene� cio. Este sistema permi� rá à empresa tomar decisões mais embasadas sobre o uso racional dos serviços de TI.

2.3.7 Educar e Treinar Usuários: Garan� r treinamento constante e efe� vo dos usuários dos sistemas de TI, incluindo aqueles da própria TI, para entenderem as necessidades dos usuários em termos de treinamento. Executar um progra-ma efi caz de treinamento e medir os resultados. Uma boa estratégia de treinamento aumenta o uso efe� vo da tecno-logia e reduz o percentual de falha humana no uso da tecnologia.

2.3.8 Gerenciar a Central de Serviço e os Incidentes: Ins� tuição de uma central de serviço (service desk) com processos de gerencia-mento de incidentes bem delineados, para registro dos incidentes, tratamento dos incidentes, escalonamento, análise de tendência, análise de causa raiz e resolução. Estes processos contribuem para sa� sfação do usuário com o primeiro nível de atendimento e para um bom percentual de incidentes resolvidos no tempo acordado/aceitável.

2.3.9 Gerenciar a Confi guração: Estabelecer e manter um repositório (inventário) completo da confi guração dos a� vos de TI com informações da confi guração inicial, confi guração de atualizações, manutenções, auditorias, etc. Uma gestão efe� va da confi guração garante maior disponibilidade dos sistemas, minimiza problemas de operação, resolve problemas de forma rápida e ajuda na o� miza-ção da infra-estrutura.

2.3.10 Gerenciar os Problemas: O foco é registrar, rastrear e resolver problemas operacionais, inves� gar causa raiz de problemas importantes e defi nir soluções para problemas iden� fi cados, manter registro dos problemas e emi� r recomendações para melhorias.

2.3.11 Gerenciar os Dados: Aperfeiçoar o uso da informação e garan� r que ela esteja disponível quanto requisitada (alta disponi-bilidade), realização de cópias de segurança de dados (back-up), testes de restauração, gerenciar locais de armazenamento (off -site, on-site), gerenciar segurança (acesso controlado).

2.3.12 Gerenciar o Ambiente Físico: A proteção dos equipamentos computacionais e de pessoas requer um bom desenho da in-fra-estrutura � sica. Este processo abrange a defi nição de requerimentos do local � sico, escolha de uma infra-estrutura apropriada e processos para monitoração de fatores de ambiente e controle de acesso � sico. O gerenciamento do ambiente � sico minimiza as interrupções de negócio de que podem ser causadas por falhas de equipamentos e pessoas.

2.3.13 Gerenciar as Operações: O processamento concluído e conciso dos dados tem necessidade de um gerenciamento do proces-samento de dados e manutenção do hardware. Este processo abrange polí� cas e procedimentos para a gestão efe� va das regras do pro-cessamento, proteção dos dados confi denciais processados, monitoração da infra-estrutura e manutenção preven� va de hardware. Um gerenciamento a� vo de operações ajuda a manter a integridade dos dados, reduz retardamentos e custos operacionais.


2.4 Monitorar e Avaliar.2.4.1 Monitorar e Avaliar o Desempenho: A gestão efi caz da atuação da TI requer um processo de monitoramento.

Este processo contém defi nição de indicadores chaves de performance (desempenho) um reporte sistêmico de e rápido de desempenho e uma atuação rápida sobre as anormalidades. Este monitoramento é necessário para garan� r alinha-mento com diretrizes e polí� cas.

2.4.2 Monitorar e Avaliar os Controles Internos: A implantação de um controle interno de TI demanda um processo de

monitoramento bem defi nido. Este processo contém monitoramento e o reporte dos desvios (anormalidades, não con-formidades) do controle, saldos das auto-avaliações e auditorias de terceiros. O principal bene� cio do monitoramento do controle interno é o provimento da garan� a da efi cácia e efi ciência operacional e cumprimento com as regulamen-tações aplicáveis.

2.4.3 Assegurar a Conformidade com Requisitos Externos: A efe� va atenção regulatória requer um processo de ava-liação independente para garan� r conformidade com as leis e regulamentações. Este inclui uma auditoria independente e reporte dos resultados da auditoria.

2.4.4 Prover a Governança de TI: Ins� tuir uma composição efe� va de governança inclui a defi nição da estrutura orga-nizacional, processos, liderança, papéis e responsabilidades para garan� r que os inves� mentos de TI estejam alinhados com os obje� vos e estratégias da empresa.

R�� .

Controles para que a área de TI tenha seja jus� fi cável e alinhada ao negócio:

Empresa: Evik Segurança e Vigilância Ltda. Gestor de TI: André Hideo.

“Convém que a direção estabeleça uma polí� ca clara, alinhada com os obje� vos do negócio e demonstre apoio e comprome� mento com a segurança da informação por meio da publicação e manutenção de uma polí� ca de segurança da informação para toda a organização.

Convém que o documento da polí� ca de segurança da informação seja aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes, assim como declare o comprome� mento da direção e estabeleça o enfoque da organiza-ção para gerenciar a segurança da informação”.

C��, �� ;

Controles para que a área de TI tenha seja jus� fi cável e alinhada ao negócio:

Empresa: Power Vigilância e Segurança Ltda.Gestor de TI: Celso Sávio.

“Caso haja a necessidade, podemos envolver a nossa gerência e diretoria para maiores esclarecimentos, mas esse controle é feito através do planejamento estratégico da empresa onde são defi nidas as ações e diretrizes que serão feitas nos anos posteriores em toda a empresa. Esse plano é baseado exatamente no caminho que a empresa deve seguir e assim são priorizados somente projetos que sejam fundamentais nesta jornada”.

Empresa: GP Guarda Patrimonial de São Paulo Ltda. Gestor de TI: Anderson Luis Araújo.

“Atualmente a TI tem um papel fundamental na estratégia de negócio do Grupo GP. Além de ter a responsabilidade de apoiar o ne-gócio com a disponibilidade de servidores e sistemas, hoje controlamos todo o fl uxo da informação desde sua origem, armazenamen-to, u� lização e disponibilidade. Este controle garan� u qualidade da informação e permi� u que nossos execu� vos atuem rapidamente baseados em dados seguros e confi áveis. Todo o controle de cadastro, processo e u� lização da informação passa pela área de TI”.

Empresa: Empresa Nacional de Segurança Ltda. Gestor de TI: Ricardo Augusto Neves.

“A TI é planejada para executar projetos de um Plano Diretor de TI, ou seja, todas as ações, necessidades e riscos são alinhados com a Diretoria. Assim, entendemos que a TI estará na mesma direção dos obje� vos da empresa”.


3. O �� ITIL.

ITIL, acrônimo que signifi ca Informa� on Technologies Infrastructure Library; biblioteca de Infraestrutura de Tecno-logias da Informação, é um conjunto de livros com melhores prá� cas que cons� tuem um “framework” para a direção e gestão de serviços de tecnologias da informação no referente a Pessoas, Processos e Tecnologias, desenvolvido pela OGC (Offi ce of Government Commerce) do Reino Unido, que cumpre e desenvolve a norma BS15000 da BSI (Bri� sh Standards ins� tu� on).

O ITIL é referência para gestão de serviços de TI. É a mais abrangente biblioteca disponível publicamente para forne-cimento e gerenciamento de serviços e a mais adotada pelas áreas de TI das grandes empresas.

Através das melhores prá� cas específi cas em ITIL o que possibilita para departamentos e organizações reduzir cus-tos, melhorar a qualidade do serviço tanto para clientes externos como internos e aproveitar ao máximo as habilidades e experiências do pessoal, melhorando sua produ� vidade.

Biblioteca do ITIL

3.1 Estratégia de Serviço:

3.1.1 Direcionamento de como projetar, desenvolver e implementar o gerenciamento de serviços, garan� r que o alinhamento das estratégias do negócio estejam alinhadas com a TI com o intuito de fazer com que as organizações tenham a capacidade de administrar os custos e riscos associados ao seu Por� ólio de Serviços.

3.1.2 Gerenciamento de Por� ólio de Serviços: o obje� vo é gerar valor para o negócio, através de processos dinâmicos para adminis-trar os inves� mentos em gerenciamento de serviços para o negócio. Ações: defi nição, análise, aprovação e contratação.

3.1.3 Gerenciamento da Demanda: tem o obje� vo de entender os atuais e futuros requisitos do negócio, assim como infl uenciar a demanda por serviços e provisão de capacidade para atender as demandas. Alinhamento entre TI negócios para que haja o bom gerenciamento, a exa� dão da demanda e a entrega de valor.

3.1.4 Gerenciamento Financeiro: o obje� vo é fornecer o custo real dos a� vos e recursos fi nanceiros usados no fornecimento de serviços de TI, prestação de contas, ratear custos, documentar e acordar o valor dos serviços recebidos, análise de inves� mento, visão geral: orçamento, contabilidade e cobrança.

3.2 Projeto de Serviço:

3.2.1 Projetar e desenhar os serviços e processos, transformar obje� vos estratégicos em por� ólio de serviços. Deve haver uma visão do “todo” para a integração de todas as a� vidades, processos e tecnologias.

Conceitos: requerimento de nível de serviço (SLR), metas de nível de serviço (SLT), defi nição de requisitos (SOR), acordo de nível de serviço (SLA), acordo de nível operacional (OLA), contrato de apoio (UC).

3.2.3 Gerenciamento do Catálogo de Serviço: gerenciar a informação do catálogo de serviços, garan� r a completude da informação: detalhes, status, dependências, etc.

Tipos de catálogos de serviços: catálogo de serviços de negócio, que consistem nos processos de negócio suportados por TI e o catálogo de serviços técnicos que consiste na relação de componentes e itens de confi guração para suportar a previsão do serviço ao negócio.

3.2.4 Gerenciamento de disponibilidade: garan� r que os serviços sejam entregues de acordo com o que foram acordados, efetuar um mapeamento claro dos requisitos do negócio e efetuar uma constante o� mização da infra-estrutura para suprir as necessidades, garan� r a mais alta disponibilidade (funcionalidade, confi abilidade e resiliência).

3.2.5 Gerenciamento de capacidade: o obje� vo é capacitar a área de TI para atender as atuais e futuras necessidades do negócio com custos jus� fi cáveis. Garan� r que a capacidade adquirida seja jus� fi cável em termos de custo e também no uso mais efi ciente dos recursos.

3.2.6 Gerenciamento de segurança da informação: alinhar a segurança da TI com a segurança do negócio, garan� r a segurança da in-formação em todos os níveis, serviços e a� vidades. Garan� r o CID (Confi dencialidade, Integridade e Disponibilidade) das informações, dados a� vos e serviços da organização. Estabelecer um sistema de gerenciamento de Segurança da Informação (ISMS).

3.2.7 Gerenciamento da con� nuidade dos serviços de TI: Suportar o processo de con� nuidade do negócio garan� do que em caso de problemas e interrupções os recursos e serviços de TI sejam retomados no perdido tempo requerido e acordado com o negócio. Criação de planos de con� ngência, realização de testes nos casos de simulações e atualizações. Conceitos: análise de negócios, análise


de riscos e planos de con� nuidade. 3.2.8 Gerenciamento de fornecedores: gerenciar os serviços entregues por terceiros (fornecedores) provisionando e

monitorando a qualidade aos níveis acordados estabelecidos em regras contratuais.

3.3 Transição de Serviço:

3.3.1 Direcionar a entrega dos serviços novos ou atualizações para a produção, efetuar uma planejamento efi ciente de acordo com a estratégia e o desenho (projeto) dos serviços para que em produção o serviço seja efe� vo e riscos sejam controlados.

3.3.2 Gerenciamento de mudanças: o obje� vo é diminuir o risco de incidentes que podem ser gerados pelas mudan-ças ou novas implementações no ambiente de tecnologia, através da criação de processos, métodos e procedimentos para garan� r que as mudanças sejam registradas, planejadas, testadas, revisadas e por fi m implementadas de maneira controlada.

3.3.3 Gerenciamento de a� vos de serviço e confi guração: defi nição de formas de controles dos componentes de serviços e infra-estrutura, efetuar um planejamento de controle através de: inventário, confi gurações, versões e verifi -

cações periódicas. Manutenção de uma base de dados contendo todas as informações para controle dos processos e serviços.

3.3.4 Gerenciamento de liberações e distribuição: o obje� vo é construir, avaliar e apresentar a capacidade de prover o serviço de acordo com que foi especifi cado no projeto (desenho) priorizando atender as necessidades requisitadas pelos interessados (stakehol-ders). Deve haver uma polí� ca de liberação contendo unidade de liberação e iden� fi cação, projeto de liberação, modelos de liberação e entrega, com o intuito de garan� r o minimo impacto no caso de falha durante os testes ou em alguma fase da liberação.

Visão geral: Ambiente de desenvolvimento (polí� ca de liberação, planejamento da liberação). Ambiente de teste seguro (confi gu-ração da liberação, teste, aceite da liberação, planejamento de distribuição) e ambiente de produção (comunicação e treinamento, distribuição e instalação).

3.4 Operação de Serviço:

3.4.1 O obje� vo é direcionar a forma de suportar os serviços em operação de maneira efe� va e efi ciente. É nesta fase do ciclo de vida do serviço que tem seu valor percebido e mensurado para o cliente.

Processos de operação de serviço: Central de serviços, Gerenciamento técnico, Gerenciamento de operações de TI e Gerenciamen-to de aplicações. Funções de operação e serviço: Gerenciamento de eventos, Gerenciamento de incidentes, Exceção de requisição de serviços, Gerenciamento de problemas e Gerenciamento de acesso.

3.4.2 Gerenciamento de incidentes: a meta é restaurar um serviço ou parte dele que foi interrompido em um curto espaço de tem-po (limite, cumprimento do SLA) a fi m de minimizar os impactos no negócio, garan� ndo assim a qualidade e disponibilidade total do serviço.

Tipos de incidentes: Falhas, recuperação solicitada (restauração de back-up) e problemas e anomalias detectadas por pessoal técni-co (monitoração). A� vidades do gerenciamento de incidentes: iden� fi car incidente, registrar incidente, categorizar incidente, priorizar incidente, diagnos� car incidente, escalonar incidente, inves� gar e diagnos� car, resolver e recuperar, e fechar incidente.

3.4.3 Gerenciamento de eventos: desenvolver habilidade para detectar eventos, correlação entre eventos e ações apropriadas de controle, elaborar e manter uma base de monitoração e controle operacional e saber diferenciar monitoração e gerenciamento de eventos. Gerenciamento de eventos consiste em avisos signifi ca� vos sobre o estado da infra-estrutura; monitoração é mais abrangen-te, é a garan� a que um disposi� vo esteja funcionando dentro dos limites estabelecidos e/ou aceitáveis mesmo que este não esteja gerando eventos.

Tipos de eventos: eventos de operação regular (informação), eventos de uma execução (exeção) e eventos de algo não usual (alerta).

3.4.4 Execução de requisição de serviços: o obje� vo é atender as solicitações de maneira formal e consistente a� ngindo os níveis de serviços acordados. Inicialmente a solicitação é tratada pela linha de frente, help-desk e posteriormente, dependendo da comple-xidade, outras áreas do BackOffi ce e até do negócio podem auxiliar no atendimento.

3.4.5 Gerenciamento de problemas: processamento do erro até a sua eliminação, evitar recorrência e minimizar impactos que não podem ser prevenidos. Controle de erros: Iden� fi car, monitorar , amenizar e/ou erradicar. Manter uma base de informações com er-


ros já ocorridos (conhecidos) com o registro do erro, avaliação do erro e principalmente com o registro da solução do erro.

3.4.6 Gerenciamento de acessos: polí� cas e ações defi nidas para uso de serviços onde autoriza usuários que tenham direi-to ao uso de um determinado serviço e impede outros que não são autorizados. Conceitos: acesso, iden� dade e direitos.

3.4.7 Funções: Trata-se de pessoa ou ferramenta que executa um determinado processo, a� vidade ou combinação destes. Existem quatro funções principais:

- Central de serviços: central de contato (ponto único) para gerenciamento das solicitações de incidentes, soluções e suporte. Representa o prestador de serviços de TI através de uma central de atendimento que direciona o volume de solicitações e central de suporte que resolve a solicitação/incidente.

- Gerenciamento técnico: tem como obje� vo planejar adequadamente, considerando correta aplicação e o custo jus� fi cável, implementar com conhecimento e garan� r o funcionamento e resoluções de falhas técnicas que venham a ocorrer. Os dois papéis mais importantes são: possuir conhecimento técnico para gerenciar a infra-estrutura de TI e para prover recursos no desenvolvimento de novos serviços em todas as fases (planejamento, construção, transição, operação e melhoria). Equipes técnicas devem ser compostas de acordo com o conhecimento técnico, ex: servidores, rede, aplicação, banco de dados.

- Gerenciamento de operações de TI: manutenção do estado dos serviços com o obje� vo de manter a estabilidade das a� vidades e processos do dia-a-dia. Consiste também na análise de melhoria defi nida durante a fase de projeto, assim como aplica diagnós� co e resolução de falhas operacionais. Sub-funções: Controle das organizações de TI: agendamento de tarefas realiza back-up e restore, efetua monitoração de servidores e redes e Gerenciamento das instalações: alocação de equipamentos, gerenciamento de energia e controles ambientais, acesso � sico e segurança, despacho e recebimento.

- Gerenciamento de aplicação: auxiliar na iden� fi cação funcional dos requisitos de aplicação e então apoiar no projeto, transição, operação e melhoria. A tendência é estruturar aplicações de acordo com a categoria da aplicação e seu suporte, exemplos: aplicações fi nanceiras, CRM. ERP, mensageira (correio eletrônico), web, etc.

3.5 Melhoria con� nua do Serviço:

3.5.1 Trata-se do modelo de aperfeiçoamento de processo (melhoria con� nua): visão (obje� vos), avaliação, aperfeiçoamento, mé-tricas e medidas. Ciclo PDCA: Planejar, Executar (Do), Checar e Agir.

3.5.2 Processo de melhoria dos 07 passos: 1) Defi nir o que deve ser medido, 2) Defi nir o que pode ser medido, 3) Coleta de dados, 4) Processar os dados, 5) Análise dos dados, 6) Apresentação e uso da informação, 7) Implementação de ação corre� va.


R�� .

Controles para gerenciar a infra-estrutura de T.I para que os prestadores de serviços internos e/ou externos entre-guem seus serviços de TI de acordo com os níveis acordados:

Empresa: Grupo Mave Segurança e Serviços. Gestor de TI: Jeff erson J. H. de Oliveira.

“Sistema de controle de chamados e a� vos de T.I., para ter total controle de so� wares e hardwares, inclusive históri-cos de serviços prestados aos mesmos. Um so� ware que é u� lizado por nós controla so� ware e a� vos”.


“Assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades, e estejam de acordo com os seus papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos.

Os papéis e responsabilidades pela segurança da informação de funcionários, fornecedores e terceiros devem ser defi nidos e documentados de acordo com a polí� ca de segurança da informação da organização.

Verifi cações de controle de todos os candidatos a emprego, fornecedores e terceiros devem ser realizadas de acordo com as leis relevantes, regulamentações e é� cas, e proporcionalmente aos requisitos do negócio, à classifi cação das informações a serem aces-sadas e aos riscos percebidos.

A direção deve solicitar aos funcionários, fornecedores e terceiros que pra� quem a segurança da informação de acordo com o es-tabelecido nas polí� cas e procedimentos da organização.

Todos os funcionários da organização e, onde per� nente, fornecedores e terceiros devem receber treinamento apropriado em conscien� zação, e atualizações regulares nas polí� cas e procedimentos organizacionais relevantes para as suas funções.

Deve exis� r um processo disciplinar formal para os funcionários que tenhamcome� do uma violação da segurança da informação.

C��, �� ;

Controles para gerenciar a infra-estrutura de T.I para que os prestadores de serviços internos e/ou externos entreguem seus servi-ços de TI de acordo com os níveis acordados:

Empresa: Power Vigilância e Segurança Ltda.Gestor de TI: Celso Sávio.“Os nossos links de dados são controlados por um so� ware de monitoramento onde mensalmente analisamos o período total em

que possivelmente fi caram indisponíveis e assim cobrarmos dos nossos fornecedores descontos nas faturas caso os mesmos estejam acima do limite previamente permi� do contratualmente. Em projetos maiores, onde existe a necessidade de mão-de-obra especia-lizada, u� lizamos aferramenta MS-PROJECT da Microso� como uma ferramenta para acompanhamento e gerenciamento de cada a� vidade.


“Há aproximadamente 3 anos e meio, a TI do Grupo GP desenvolveu um sistema de abertura e administração de chamados que controla o SLA (medição de atendimento de serviço) da resolução do problema de nossos clientes internos. O SLA é de 3 horas para chamados que não dependam de terceiros. A meta mensal é de que 90% dos chamados sejam resolvidos neste prazo. No fi nal do mês é rodado um relatório de análise de atendimento dos chamados”.

Empresa: Empresa Nacional de Segurança Ltda. Gestor de TI: Ricardo Augusto Neves.

“Temos controles da operação de TI, como: backup, atualização de versões de sistemas, atualização de an� vírus, documentação de procedimentos, gerenciamento de capacidades, controle de help desk, etc. Além disso, temos uma polí� ca de atendimento implanta-


da que deixa claro aos usuários sobre como a TI atua para cada � po de solicitação”.

Empresa: Protege S/A Proteção e Transporte de Valores. Gestor de TI: Alexandre Corrêa.

“Temos SLA´s (níveis de serviço) estabelecidos, de acordo com a prioridade, para os serviços internos e para os prestadores externos. Para os prestadores externos, esses SLAs fazem parte do contrato e possuem multas com ônus e bônus atrelados. Essas métricas estão parametrizadas em nosso sistema de Service Desk, onde controlamos a desem-penho por Incidente informado.

Através de reuniões quinzenais e mensais, com base nos relatórios e gráfi cos extraídos desse sistema, avaliamosConjuntamente os desvios encontrados e o que faremos para ajustá-los. Isso se torna recorrente”.


4. N�� S�� I�� (ISO 27002)

Normas de Gestão Segurança da Informação, as normas IS0 27000:

27000: Visão geral e vocabulário.27001: Requisitos de sistema de segurança da informação.27002: Código de prá� ca para gestão de segurança da informação.27003: Diretrizes para implementação de sistema de segurança da informação.27004: Métricas de sistema de gestão de segurança da informação.27005: Gestão de riscos de segurança da informação.27006: Requisito para acreditação das partes – sistemas de gestão de segurança da informação.27007: Diretrizes para auditar sistemas de gestão de segurança da informação.

Em 1995, a primeira norma foi publicada, a BS7799-1 Code Prac� ce for Informa� on Security Management, e ao passar dos anos novas publicações levaram à evolução. De 2008 em diante, as normas ISO/IEC 27001:2005 e ISO/IEC 27002:2007 passaram a ser largamente disseminadas, ambas com aceitação mundial: a primeira com aspectos de im-plantação de um Sistema de Gestão de Segurança da Informação (auditoria e cer� fi cação). Já a segunda trata-se de um código de prá� ca recomendável para qualquer � po de organização.


5. A �� ISO 27002:

Código de prá� ca para gestão de segurança da informação.

5.1 Conceitos de Informação e Segurança da Informação:

Abordagem sobre o valor da informação, suas formas de gestão, seu ciclo de vida e proteção CID (Confi dencialidade, Integridade e Disponibilidade).

5.1.1 A� vos: qualquer coisa que tenha valor e importância para a organização inclusive a própria informação que pode ser usada em processos, como fator de produção ou até como produto fi nal.

Informação como fator de produção: atualmente a informação é tratada como fator de produção assim como capital, mão-de-obra,matéria-prima, etc. Muitas organizações não exis� riam sem informação e outras têm a informação como seu por� ólio e até como seu principal “produto”.

Diferença entre dados e informação: informação é o que tem valor para a organização (produto), dados podem compor a informação (componentes). Informação pode exis� r em diversas formas: impressa ou escrita em papel, armazenada eletro-nicamente, etc.

Análise da informação: nesta fase deve-se compreender o processo de composição da informação e de como a mesma será “manu-seada”. Com o resultado desta fase é defi nida a arquitetura da informação.

Arquitetura da informação: organizar a informação em uma arquitetura que torne fácil e preciso o acesso à informação. O mesmo conceito aplicado em construções pode ser aplicado a informações, estruturação de dados considerando relações, formatos e cate-gorias.

Ciclo de vida da informação: fases que representam o ciclo de vida da informação: a) Manuseio: início do ciclo onde a informação é originada;b) Armazenamento: onde é efetuada a salvaguarda da informação podendo ser em diversas mídias e disposi� vos; c) Transporte: momento onde a informação é repassada/encaminhada; d) Descarte: momento em que a informação é eliminada (deletada). Sistemas de informação: são todos os componentes necessários dentro do ciclo de vida da informação para fornecer a informação

a uma organização.

Gestão da informação: trata-se da polí� ca de acesso/entrega das informações, entregar informação certa às pessoas certas, no tempo certo. Deve-se entender as relações entre consumidores e produtores da informação.

5.1.2 Segurança da informação: garan� r que a informação esteja acessível com exclusividade e privacidade somente para as pes-soas autorizadas. Garan� r aos aspectos de confi abilidade da informação, CID: Confi dencialidade acesso somente para pessoas autori-zadas, Integridade garan� r a salvaguarda e exa� dão da informação e dos meios de processamento, Disponibilidade sempre disponível e acessível quando necessário.

Como obter segurança da informação: através de controles adequados para garan� r que os obje� vos de negócio e segurança da organização sejam atendidos. Controles: Polí� cas, Processos, Procedimentos, Estruturas Organizacionais, Funções de Hardware e


So� ware. Vale ressaltar que segurança da informação não é somente um processo tecnológico e, sim, um processo de gestão.

5.2 Ameaças, Vulnerabilidades, Danos e Gestão de Riscos:

Apresentação das defi nições indispensáveis para que se possa iniciar um processo de análise de risco assim como demonstrar as ameaças às quais os a� vos estão expostos e quais são as vulnerabilidades dos mesmos e quais os danos e impactos que tais podem ocasionar.

Defi nição sobre risco: combinação da probabilidade de um evento e suas conseqüências (Combina� on of the proba-bility of an event and it consequence) [ISO Guide 73:2002]

Tratamento de risco: processo de tratamento, seleção e implementação das medidas para modifi car o risco (Treat-ment process of selec� on and implementa� on of measures to modify risk) [ISO Guide 73:2002]

Risco residual: risco que permance após o tratamento do risco.

5.2.1 Ameaças: Uma potencial causa de incidente (poten� al cause of an incident, that may result harm to system of organiza� on) [BS/IEC 13335-1:2004]. Ameaça: todo e qualquer perigo eminente seja natural, hamana, tecnológica, � sica ou polí� co econômica.

Compreender uma ameaça é o início para o desenvolvimento de uma boa defesa, pois conhecendo o inimigo (ameaça) as estra-tégias serão efi cazes. Exemplos de ameaças: vandalismo, roubo e furto, sabotagem, incêndio, desastres naturais (raios, inundação, terremotos) falhas tecnológicas, falha humana , acesso não autorizado.

Ameaças à segurança da informação:

Código malicioso (malware): � pos de programas que efetuam ações maliciosas em um computador, alguns � pos: Vírus, Vermes (worm), So� ware espião (spywares), Cavalo de troia (trojan), Rootkits ( conjunto de programas invasores).

Engenharia Social: ar� � cio de persuasão contando, muitas vezes, com a ingenuidade, confi ança, vaidade pessoal e/ou profi ssional, autoconfi ança, busca por novas amizades e propagação de responsabilidades do usuário, para obter acesso não autorizado a sistemas de informação. Engenharia social compreende a inap� dão dos indivíduos (usuários) de não estarem conscientes do valor da informa-ção que eles possuem e, portanto, não terem preocupação em proteger essa informação conscientemente. É importante ressaltar que, na engenharia social, o elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano, o qual possui traços comportamentais e psicológicos que o torna susce� vel a ataques de engenharia social.

Cracker: pessoas com conhecimentos em sistemas computacionais (sistemas operacionais, linguagens de programação, redes de comunicação, internet, etc.) e u� lizam tais conhecimentos para a� vidades ilegais a fi m de gerar danos a pessoas, organizações, etc.

Hoax: mensagem eletrônica (e-mail) não solicitada que possui conteúdo alarmante, absurdo e falso, apontado como remetente grandes ins� tuições, corporações e órgãos governamentais.

Phising: mensagem eletrônica (e-mail) não solicitada falsa que direciona o usuário a uma página fake (falsa) na internet que se passa por grandes ins� tuições fi nanceiras induzindo os usuários a fornecerem dados pessoais e fi nanceiros.

Backdoor (Porta dos fundos): uma falha de segurança que pode permi� r a invasão de um sistema de informação ou sistema ope-racional. Crackers podem ul� lizar uma backdoor para instalar códigos mailiciosos para infectar sistemas e computadores ou roubar informações.

Spam: mensagens eletrônicas (e-mails) não solicitados enviados para uma grande número de pessoas, geralmente com o conteúdo apela� vo e comercial.

Scan: programa projetado para efetuar varredura em computadores e redes de computadores inden� fi cando quais sistemas estão a� vos e o que esta sendo disponibilizado por eles.

5.2.2 Vulnerabilidades: fragilidade, limitação ou defi ciência de um sistema computacional que pode ser explorada por uma ou mais ameaças, podendo sofrer ações acidentais ou serem exploradas intencionalmente. O grau de exposição pode ser maior ou menor.

5.2.3 Incidentes Danos e Impactos: quando uma ameaça se concre� za e causa um incidente, exemplo: quando compramos uma solução de an� vírus, estamos preocupados com a ameaça, o vírus. Caso um novo vírus passe pelo sistema de proteção e se propague


na rede, ele torna-se ví� ma de um incidente que causará danos e impactos em sistemas de informação, servidores e serviços da rede que poderão fi car fora do ar.

5.2.4 Gestão de riscos: Apresenta uma metodologia para perceber se as ações e tomadas de decisões que estamos efetuando são realmente necessárias e se estamos evitando da forma mais efi ciente que algo nega� vo ocorra. A gestão de riscos também oferece ferramentas para verifi car se a operação vale o risco associado, defi nido se con� nuamos re-alizando aquela a� vidade ou se temos como fazê-la de forma mais segura.

Análise/Avaliação de Riscos: processo que é divido em etapas: a) defi nição da situação (contexto): qual a necessidade da operação;b) iden� fi cação do risco: a quais ameaças os a� vos estão expostos; c) cálculo do risco: qual a probabilidade de ocorrência e quais os danos que podem causar d) avaliação do risco: consistem em soluções para evitar que a ameaça venha a ocorrerem (se concre� ze), tais ações

devem ser operacionalmente possíveis e ser economicamente viáveis, caso contrário a necessidade geradora do risco deve ser descartada.

Tratamento dos riscos: a avaliação do risco deve ser sa� sfatória para ser iniciado um processo de tratamento de risco onde ações serão tomadas para que o risco seja mi� gado (reduzido a um nível aceitável, riscos residuais), evitado (operação não vale o risco) ou transferido (contratar empresa ou ferramenta que efetue a operação com garan� a e con� ngência de operações em caso de concre� zação do risco). A a� vidade de avaliação de riscos deve garan� r que quando houver os riscos residuais, estes devem ser aceitos formalmente (documentação) pela alta gestão da organização principalmente quando uma necessidade de controle é postergada devido a restrições fi nanceiras.

5.3 Abordagem e Organização:

Apresentação de polí� ca de segurança da informação e organização da informação e quais são seus obje� vos e conteúdo.

Polí� ca de segurança da informação: promover orientação sobre segurança da informação em concordância com os requisitos do negócio, leis e regulamentações. A polí� ca deve ter a aprovação da alta gestão e deve ser publicado (comunicado) a todos os colabo-radores, fornecedores e outros que fazem parte do negócio.

Uma polí� ca de segurança da informação deve considerar:

* Comprome� mento da alta direção;* Explicação das polí� cas, princípios e requisitos;* Treinamento e conscien� zação de todos dos envolvidos;* Responsabilidades na gestão da segurança;* Documentação para formalizar a polí� ca;

5.3.1 A importância da polí� ca de segurança da informação: a PSI tem como obje� vo proteger os a� vos de informação contra qual-quer � po de ameaça seja elas deliberadas ou acidentais, cer� fi cando-se de que:

* Haja o tratamento imediato de qualquer violação as diretrizes da PSI.* Manutenções periódicas e preven� vas para garan� r os planos de con� nuidade.* Haja o comprome� mento e responsabilidade de todos os envolvidos.* Divulgação sufi ciente de informa� vos para conscien� zação.* Treinamento para todos os envolvidos.

5.3.2 Hierarquia da polí� ca de segurança da informação: a PSI deve ser estruturada por um conjunto de documentos, distribuídos pelas camadas: Estratégica: diretrizes e metas, Tá� ca: defi nem o cumprimento das diretrizes e Operacional: formas de controle;

5.3.3 Código de conduta: conjunto de normas que tem o obje� vo de orientar e disciplinar para que as a� tudes dos colaboradores seja a esperada pela alta gestão. Deve haver a constante divulgação do código de conduta desde a contratação até o desligamento dos colaboradores.

5.3.4 Gestão de incidentes: o obje� vo é compreender os incidentes a acumular experiência com a resolução para o futuro. Inciden-tes deve ser reportados, escalonados funcionalmente ou hierarquicamente. Todo incidente dever passar por um ciclo de vida que é composto por quatro (04) estágios onde cada um tem um � po de medida associada.


Estágio: Ameaça Incidente Dano Recuperação.

medidas: redução/ prevenção detecção/repressão repressão correção.

5.3.4 Agentes da segurança da informação: conforme o tamanho da organização (empresa) devem ser estabelecidos papéis sobre a responsabilidade da segurança da informação.

Diretor da Informação: responsável pelo estabelecimento da metas de diretrizes da informação;Gestor da Informação: classifi car a informação e deliberar as formas de proteção;Custodiante: responsável pelo processamento organização e guarda da informação; e Usuário: aquele que interage com a informação em suas diversas formas.

5.4 Medidas de Segurança:

Apresenta medidas e formas para o tratamento dos riscos, medidas de segurança podem ser de natureza � sica, tec-nológica, organizacional.

5.4.1 Funções das medidas de segurança:

Redu� vas: reduzir a probabilidade de acontecimento de um incidente, implantação de um an� vírus para reduzir as chances de uma invasão.

Preven� vas: evitar o risco, eliminar vulnerabilidades, eliminar a a� vidade geradora do risco, porém deve ser considerado se a a� vi-dade vale o risco, ou seja, se tal a� vidade é realmente importante para o negócio.

Detec� vas: inden� fi car o incidente no momento ou logo após ao seu acontecimento com o intuito de minimizar os danos e colocar em ação medidas repressivas e/ou corre� vas.

Repressivas: combater o dano causado pelo incidente até a sua eliminação.

Corre� vas: plano de recuperação de desastres tem o propósito de recuperar o ambiente até sua normalização, após a ocorrência de um incidente.

5.4.2 Tipos de medidas de segurança:

Medidas � sicas: tem o obje� vo de prevenir o acesso � sico não autorizado, danos e interferências com as instalações. Auten� cação: apesar de ser u� lizado também como um � po de controle lógico trata-se e um controle indispensável para segurança

� sica, exemplo: crachá (� sico), senha de acesso (lógico).

Biometria: medição de parâmetros biológicos para iden� fi car pessoas, impressão digital, geometria da mão, caracterís� cas da íris, reconhecimento de voz e face.

Polí� ca de mesa limpa: evitar que papéis e outros � pos de mídias fi quem acessíveis e expostos a terceiros, re� rar papéis de impres-soras imediatamente, bloquear terminais (computadores).

Fornecedor ininterrupto de energia (no-break): garante uma fonte de energia alterna� va através de baterias recarregáveis , no caso de falha da energia principal falhar (elétrica). É importante salientar que no-breaks possuem autonomia moderada e não podem ser u� lizados como fonte principal de energia.

Clima� zação: garan� r que os equipamentos estejam acondicionados em um ambiente adequado ao seu perfeito funcionamento. Equipamentos como servidores, no-breaks, switches, etc., transformam grande parte da energia que recebem em calor e precisam ser resfriados para sofrerem interrupções e/ou até serem danifi cados permanentemente.

Interferência: linhas de energia elétrica, linhas de redes de dados e telecomunicações que suportam sistemas de informação devem receber proteção adequada para evitar interrupções ou até roubo de informações. Medidas como conduites que evitem exposição de cabos em áreas públicas, segregação de cabos de energia elétrica dos cabos de comunicação (voz/dados), marcações para evitar erros de manuseio e documentação (ex: as bild), ajudam a garan� r a disponibilidade e integridade dos dados trafegados.

Medidas Tecnológicas: tem o obje� vo de garan� r a segurança das informações em formato eletrônico, afi nal, nos dias de hoje, a


maior parte das informações das empresas está em formato eletrônico.

Gerenciamento de acesso lógico: representado por uma tríade denominada “Triple A” :

Auten� cação: iden� fi cação do ID (iden� dade) de quem solicita o acesso.

Autorização: procura do ID n base de acesso (banco de dados).

Accountability: registro de solicitações de acesso, autorizadas e negadas.

Firewall: disposi� vo de hardware ou so� ware que permite o tráfego entre duas ou mais redes, permi� ndo que a comunicação seja monitorada, confi ável e segura.

Cópia de segurança (back-up): criar cópia das informações para que as mesmas possam ser recuperadas, consideran-do: nível necessário das cópias, registros das cópias, documentos com procedimentos para recuperação, externação e freqüência das cópias (completo, incremental e diferencial), tempo de retenção das informações no back-up, armaze-nar cópias em localidade remota, testar mídias e processos de recuperação regularmente.

Criptografi a: u� lizada para embaralhar dados, tornando-os códigos ilegíveis, uma chave (conjunto de bits) embara-lha (encripta) e, através do conhecimento dela, recuperar a informação no seu formato legível (decriptar).

Cer� fi cado digital: são arquivos que iden� fi cam a iden� dade de uma en� dade (usuário, servidor, fabricante, etc.,) através de uso de criptografi a assimétrica. O cer� fi cado contém informações sobre seu proprietário e a sua chave pública que é parte de uma chave privada man� da pelo usuário. O cer� fi cado digital é composto por: dados do iden� fi cado, dados do órgão emissor, data de validade, assinatura digital do órgão emissor e chave pública do iden� fi cado.

Autoridade cer� fi cadora: são como cartórios digitais que recolhem através de suas autoridades de registro a documentação das iden� dades para as quais os cer� fi cados serão emi� dos, criando um cer� fi cado digital que associa a en� dade a um par de chaves. Existe uma polí� ca estabelecida para emissão dos cer� fi cados igual a dos órgãos que emitem documentos como RG, CPF, etc., e uma rígida polí� ca de segurança.

Repositório de cer� fi cados: são sistemas de diretório baseados em LDAP (diretório) que armazenam e disponibilizam informações públicas sobre cer� fi cados digitais.

Infra-estrutura de chave pública: soma de tecnologias para garan� r segurança (hardware, so� ware e protocolos), distribuição e gerenciamento de chaves e cer� fi cados digitais.

Assinatura digital: aplicações desenvolvidas para iden� fi car os cer� fi cados digitais com fi nalidade de obter proteção e sigilo dos dados crí� cos. Trata-se de um código (hash) u� lizado para verifi car a integridade de uma mensagem e atestar que um determinado documento foi produzido por quem o emissor da mensagem diz ser. As assinaturas são feitas com a chave privada (codifi cada) do emissor e se u� liza a chave pública do receptor para iden� fi car (decodifi car).

VPN: u� lizar redes públicas (internet) para implementar redes corpora� vas, VPN são túneis de criptografi a entre pontos autorizados para tranferência de informações de modo seguro entre redes corpora� vas e usuários remotos.

Medidas Organizacionais: as medidas organizacionais visam aumentar o nível de segurança na organização através de aplicação de


processos e métodos administra� vos.

Classifi cação da informação: qualifi car informações cri� cas conforme seu nível de importância, qualifi car como: Con-fi dencial, Privada, Sensível e Publica. A classifi cação da informação deve assegurar que a informação receba um nível adequado de proteção através de sua iden� fi cação considerando o seu valor.

Proteção contra códigos maliciosos: visa proteger a integridade do so� ware e da informação através de controles técnicos e conscien� zação dos usuários sobre uso de so� ware pirata, etc.

Gestão de mudanças: visa programar rigoroso controle de mudanças para sistemas operacionais e aplica� vos, con-siderando: iden� fi cação e registro das mudanças signifi ca� vas, planejamento e testes das mudanças, avaliação dos impactos, aprovação formal das mudanças, comunicação para todos os envolvidos, procedimentos de recuperação.

Segregação de funções: obje� va a divisão de tarefas e permissões, não havendo a concentração do conhecimento em uma só pessoa reduzindo assim o risco de dolos, fraudes, roubos, etc., uma vez que seriam necessárias uma, duas ou mais pessoas em consenso.

Gerenciamento da con� nuidade de negócio: visa a proteção de pessoas e processos crí� cos para o negócio contra possíveis efeitos, falhas, desastres, etc., assegurando a retomada em tempo hábil e minimizando perdas. O gerencia-mento de con� nuidade de negócios é composto por planos de con� nuidade de negócios, planos de recuperação de

desastres e planos de administração de crises.

5.5 Legislação e Regulamentação:

Explana os aspectos legais incluídos na segurança da informação, que são relacionados em um seção específi ca da ISO 27002.

5.5.1 – Conformidade:

Estar de acordo com regras, normas e principalmente legislação evitando a violação de: leis criminais ou civis, Estatutos, Regula-mentações, Obrigações contratuais, etc.

5.5.2 – Conformidade com requisitos legais:

O obje� vo é impedir a transgressão de qualquer lei criminal ou civil, estatutos, obrigações contratuais e de qualquer condição de segurança da informação.

Iden� fi cação de legislação vigente: manter documentações atuais para cada sistema de informação focando atender os requisitos estatutários, contratuais, regulatórios da organização.

Direitos de propriedade intelectual: garan� r através de procedimentos e controles conformidade com requisitos legisla� vos, regu-lamentares e contratuais sobre o uso de material, so� ware, etc.,sobre os quais podem haver direitos de propriedade intelectual.

Proteção de registros organizacionais: proteção de registros e documentação de grande importância para a organização contra perda, destruição e falsifi cação.

Proteção de dados e privacidade de informações pessoais: cer� fi car sobre a privacidade e proteção dos dados conforme exigido nas legislações relevantes, se aplicável nas cláusulas contratuais.

Prevenção de mau uso de recursos de processamento de informação: instruir os usuários a não usar os recursos de processamento da informação para uso próprio não autorizado.

Conformidade com as polí� cas e normas de segurança da informação: para atender às normas da polí� ca de segurança da infor-mação, cada gestor deve garan� r que em sua área todos os procedimentos de segurança estejam sendo executados conforme esta-belecidos.

Verifi cação da conformidade técnica: verifi car periodicamente sistemas de informação se estão em conformidade com as normas de segurança da informação.

5.5.2 – Legislação sobre crimes de informá� ca.


Legislação para prevenir e punir infratores que agem por meios digitais:

Algumas:

Lan houses: Lei 12.228, de 11 de janeiro de 2006, o Estado de São Paulo exige que lan houses mantenham um cadas-tro com nome, data de nascimento, endereço, telefone e nº documento de iden� dade dos seus usuários.

Pedofi lia: Lei federal 11.829, sancionada em 25 de novembro de 2008, pena de reclusão de quatro a oito anos (hoje pena máxima de 06 anos) para quem produz, reproduz, dirige, fotografa ou registra cenas de sexo explícito ou porno-grafi a envolvendo crianças ou adolescentes.

Fraudes bancárias: enquadradas comumente como estelionato, porém existem projetos para punir fraudes eletrôni-cas ainda em fase de desenvolvimento e votação.

Regulamentação de segurança para o governo: Como tem a custódia de dados públicos, os governos estão sujeitos à legislação nacional da segurança da informação e outros regulamentos, como o decreto 4.553, de 2002, que visa regulamentar: criação de arquivos, gerenciamento e destruição, transferência para arquivo central, transferência entre governos e acesso aos arquivos.

Regulamentação para informações especiais do governo: no mesmo decreto 4.553, de 2002, há disposições sobre sigilo, tempo de retenção, classifi cando a informação:

I - ultra secreto: máximo de cinqüenta (50) anos;II - secreto: máximo de trinta (30) anos;III - confi dencial: máximo de vinte (20) anos;IV - reservado: máximo de dez (10) anos;

5.5.3 – Auditoria:

Submeter sistemas de informação a verifi cações periódicas para garan� r a conformidade com as normas de segurança da infor-mação implementadas. Auditorias devem ocorrer com o consen� mento dos gestores dos a� vos, devem ser planejadas para que não interrompam os processos do negócio. Todo e qualquer � po de acesso deve ser registrado e monitorado. O acesso aos registros audi-tados devem ser efetuados apenas com permissão de leitura para prevenir possibilidade de uso impróprio ou de comprome� mento. A auditoria deve ser executada por empresa e/ou auditor independente.

R�� .

Procedimentos e normas para sistema� zar e norma� zar a u� lização dos recursos computacionais para que os usuários (colabo-radores) possam fazer o uso mais adequado dos mesmos, mantendo a informação com atributos de integridade, confi abilidade e controle:

Documentação para evitar situações de irregularidades com licenciamento de so� ware:


“Controles como documento da polí� ca de segurança da informação, atribuição de responsabilidades para a segurança da informa-ção, conscien� zação, educação e treinamento em segurança da informação, processamento correto nas aplicações, gestão de vulne-rabilidades técnicas, gestão da con� nuidade do negócio, gestão de incidentes de segurança da informação e melhorias”.

Empresa: Grupo Mave Segurança e Serviços. Gestor de TI: Jeff erson J. H. de Oliveira

“Polí� ca de segurança e ajustá-la as regras e procedimentos da organização, e divulgá-la de maneira efi caz, como por exemplo: termo de responsabilidade assinado pelo colaborador e informa� vos diversos. Um treinamento inicial e após periódico, seria essencial para melhorar a efi ciência e efi cácia sobre a polí� ca de segurança interna.

Todos os so� wares tem que ser adquiridos com nota fi scal e licença de uso. Armazenar em local seguro e adequado, se possível cadastrar os dados no sistema de gestão de T.I”.


C��, �� :

Procedimentos e normas para sistema� zar e norma� zar a u� lização dos recursos computacionais para que os usuá-rios (colaboradores) possam fazer o uso mais adequado dos mesmos, mantendo a informação com atributos de integridade,confi abilidade e controle:

Documentação para evitar situações de irregularidades com licenciamento de so� ware:

Empresa: Power Vigilância e Segurança Ltda.Gestor de TI: Celso Sávio.“Existe um termo de compromisso disponibilizado para o funcionário, que deve ser lido e assinado, no momento de

sua contratação na empresa. Nele é retratada a postura que deve ser incorporada pelo funcionário.Para realizar as suas atribuições na empresa quando u� lizar os recursos tecnológicos oferecidos por TI.

A Tejofran/Power adquiriu através da fabricante Novell o so� ware para controle de a� vos onde instalamos em cada computador um agente que sincroniza com o servidor principal, sendo que qualquer alteração feita no computador instantaneamente é atualizada no gerenciador da matriz. Com isso, fi ca disponível um relatório na ferramenta em que apresenta as informações consolidadas de todos os produtos que estão em uso no parque computacional e assim comparamos com as licenças adquiridas pela Tejofran/Power. Dessa forma, evitamos que haja produtos em uso sem

autorização legal”.


“A TI desenvolveu, há quatro anos, uma Polí� ca de Segurança de Tecnologia da Informação aprovada pela diretoria. A mesma foi divulgada em Intranet. Essas polí� cas contêm regras sobre hardware, so� ware, arquivos, internet, an� vírus, programas piratas, disposi� vos de armazenamento e email. Há também uma car� lha resumindo toda a polí� ca que é entregue pelo nosso RH a todo colaborador que terá acesso aos recursos de tecnologia. Nessa car� lha, há um termo de responsabilidade onde o colaborador assina e compromete-se a cumprir as regras e também submete-se às penalidades em caso de descumprimento das mesmas.

Sanamos todos os problemas de so� wares irregulares com a renovação do parque de desktops, pois compramos em lotes e todos licenciados. Como o colaborador não tem direito de instalação de qualquer so� ware no desktop, qualquer instalação é analisada pela TI e controlada por ela”.

Empresa: Empresa Nacional de Segurança. Gestor de TI: Ricardo Augusto Neves.

“Temos polí� cas e normas de u� lização de recursos de TI implantadas. Além disso, todos os funcionários “Administra� vos” assinam um termo de responsabilidade no momento da admissão. Este termo menciona as normas e dá diretrizes sobre a u� lização dos recur-sos, bem como, das conseqüências do “uso indevido” dos mesmos”.

Empresa: Protege S/A Proteção e Transporte de Valores. Gestor de TI: Alexandre Corrêa.

“Temos nosso procedimento publicado na Intranet: Procedimento Operacional de U� lização da Central de Service Desk, onde nos itens 6.4 – Matriz de responsabilidade e 6.5 – Nota Importante é claramente especifi cada a responsabilidade do usuário quanto à solicitação e u� lização dos recursos, bem como quais problemas podem acarretar para o Grupo Protege a u� lização indevida dos mesmos.

Possuímos uma área de Asset, que visa a gestão de a� vos (licenças e equipamentos) de TI, adquirimos somente so� wares legais através do processo de solicitação de compras do Grupo Protege, porém a compra é efe� vada somente após consulta em sistema sobre disponibilidade pela área de Asset, e mediante aprovação do gestor da área de Tecnologia da Informação e gestor da área soli-citante.

O controle das licenças, quanto à u� lização e disponibilidade, está vinculado ao processo de instalação e desinstalação de so� wares que conforme mencionado também no Procedimento Operacional de U� lização da Central de Service Desk, só pode ser realizado pela área de Tecnologia da Informação. Após instalação/desinstalação, as informações são historiadas e o chamado é encaminhado para área de Asset atualizar em nosso sistema. Nosso sistema, possui também um so� ware de inventário automa� zado e remoto que facilita muito a gestão do nosso parque”.


Empresa: Iron (Valinhos) Segurança Especializada Ltda. Gestor de TI: Francisco F. F. Ventura

“U� lizamos normas que são passadas durante o treinamento do colaborador, alem de bloqueios � sicos e virtuais para manter a integridade dos dados da empresa.

Como bloqueios virtuais temos a u� lização de senha pessoal para acesso a qualquer arquivo e u� lização de internet da empresa. Temos polí� cas de alteração e criação de senhas que são alteradas bimestralmente, alem de relatórios sobre u� lização dos recursos da empresa por funcionários”.


BIBLIOGRAFIA

DOS SANTOS FREITAS, Marcos André. Fundamentos do Gerenciamento dos Serviços de TI: Preparatório para a cer� -fi cação ITIL V3 Founda� on. 1a ed. Rio de Janeiro: Brasport. 2010. 376 p.

FERRAZ DE ABREU, Vladimir. Implantando a Governança de TI - da Estratégia à Gestão dos Processos e Serviços. Brasport.

DARYUS CONSULTORIA E TREINAMENTO LTDA. Material didá� co desevolvido para Impacta Tecnologia pela Techno-Edi� on Editora. 2010.

DARYUS CONSULTORIA E TREINAMENTO LTDA. Material didá� co student brochure (Daryus ISF Student_vlrl). 2010.


Rua Bernardino Fanganiello, 691 - CEP: 02512-000 - São Paulo - SP Fone/Fax: (11) 3858-7360

www.sesvesp.com.br - E-mail: [email protected]

Sindicato das Empresas de Segurança Privada, Segurança Eletrônica, Serviços de Escolta e Cursos de Formação do Estado de São Paulo

Guia de Boas Prá cas para Gestão de Tecnologia da...

Documents

Transcript of Guia de Boas Prá cas para Gestão de Tecnologia da...